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(3) Einheitzur Sicherheitsuberwachung von Steuerungseinrichtungen 

(57) Einheit zur Sicherheitsuberwachung von Steuerungs- 
einrichtungen, bei denen Speicherprogrammierbare 
Steuerungen oder Mikrorechner uber ein Bus-System de- 
zentrale Einheiten ansprechen, die einen Prozess sowohl 
im sicherheitsrelevanten als auch im nichtsicherheitsrele- 
vanten Bereich regeln, steuern oder uberwachen dadurch 
gekennzeichnet, dasszur Realisierung der Sicherheitsan- 
forderung die Uberwachungseinheit (2) hinzugefugt wird, 
die entweder ausschlieSlich oder vorwiegend die sicher- 
heitsbehafteten Funktionen des Prozesses (12) mit der 
notwendigen Logik zur Oberwachung gefahrbringender 
Abiaufe oder Bewegungen (13) hinzugefugt wird, die 
setbst nur uber das Bus- System (3), welches als Standard 
erharten bleibt und keinerlei Zusatzfunktion bedarf, eine 
Horer-Funktion erhalt und damit zusatzlich zum Gesamt- 
prozess adaptierbar ist, di esc mit sichcrheitsgcrichteten 
dezentralen Einheiten (7, 9) kommuniziert und parallel 
zum Gesamtprozess alle Sicherheitsfunktionen uber* 

■ wacht und nur im Fehlerfall uber die dezentralen Einhei- 
ten (7, 9) oder sonstigen Sicherheitseinrichtungen den si- 

J cheren Maschinen- bzw. Anlagenzu stand herbeifuhrt. 
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Beschreibung (298 24 256.7) 



Es wird eine Einheit beschrieben, die uber ein sicherheitsgerichtetes Bussystem mit 
dezentralen Komponenten kommuniziert und dabei sowohl den sicheren 
Datenverkehr als auch die Stcherheitsfunktionen uberwacht. 

Die hier vorgeschlagene Einheit ist in der Lage, die Steuerungseinrichtung und die 
.Sicherheitsfunktion vollkommen zu trennen. Mit der Einheit wird es moglich, den 
Steuerungsteil vollstSndig vorher aufzubauen, zu testen und in Betrieb zu nehmen. 
Die sicherheitsrelevanten Komponenten lassen sich dann nachtragiich hinzufugen, 
ohne die Steuerungsfunktion zu andern. Auch nach der Installation beider Systeme 
(Steuerungseinrichtung und Sicherheitssystem) lassen sich Steuerungsfuhktionen 
andern, hinzufugen oder heraustrennen, ohne dass die Sicherheitsfunktion davon 
betroffen ist. Insbesondere besteht die Moglichkeit, alle Sicherheitsverknupfungen im 
einzelnen unabhangig zu prufen. 

Diese Aufgabe wird erfindungsgemaU durch die kennzeichnenden Merkmale des 
Anspruchs 1 gelost, wahrend die weiteren Anspruche (2-10) vorteilhafte 
Auspragungen der beschriebenen Einheit darstellen. 

In Fig. 1 ist die Funktionsweise der zu Grunde liegenden Einheit dargestellt. 
Hierbei besteht das Automatisierungssystem aus einer Steuerung, einem Bus- 
System und mehreren dezentralen Komponenten, die den Prozess steuern oder 
uberwachen. Damit stellt die Fig. 1 eine typische Einrichtung dar, die (ohne die grau 
hinterlegten Komponenten) fur alle nichtsicherheitsrelevanten Systeme geeignet 
sind. Die Anordnung entspricht dem heutigen Stand der Technik. 

Im Detail steuert oder regelt die Steuerung (1) den gewunschten Prozess. Uber das 
angeschlossene Bus-System (3) holt sie Daten vom Prozess (11,12) oder gibt sie 
Daten zum Prozess aus. Die dezentralen Einheiten (4-10) empfangen alle Daten vom 
Bus-System (3) oder stellen dem Prozess (11,12) ihre Daten zur Verfugung. Damit 
sind die dezentralen Einheiten nur vorgelagerte Eih-/Ausgabe-Baugruppen, die ohne 
ein Bus-System als Peripheriebaugruppen in der Speicherprogrammierbaren 
Steuerung zu finden sind. 

Die Steuerung (1 ) enthalt ein Programm (Software) das alle 

nichtsicherheitsrelevanten Vorgange steuert oder regelt Femer enthalt sie bereits in 
ihrem Programm auch die logischen Funktionen fur die Sicherheitsverknupfungen, 
die fur sicherheitsrelevante Vorgange notwendig sind. So enthalt beispielsweise der 
Prozess (11) keine aber der Prozess (12) sicherheitsrelevante Vorgange bei denen 
Bewegungen erfolgen. die eine Gefahr fur Mensch oder Maschine darstellen (13). 
Obwohl die Steuerung (1) die notwendige Logik fur die Sicherheitsanforderung 
enthalt, kann sie im Fehlerfall nicht einwandfrei reagieren, da entweder sie selbst 
oder eine ihrer dezentralen Einheiten fehlerbehaftet sein kann, diese aber nicht 
kontrolliert werden. Das Steuerungssystem ist damit nicht in der Lage, einen Fehler 
abzuwehren, da jegliche Fehlererkennung fehlt. 

Entsprechend der Aufgabe der Anmeldung nach Anspruch 1 werden zur Erreichung 
der sicheren Fehlererkennung und zur Prozessabschaltung die grau hinterlegten 
Komponenten hinzugefugt 

Die Uberwachungseinheit (2) wird in der Funktion eines Horers (Listener) an den Bus 
angeschlossen. Sie braucht damit nicht von der Steuerung beriicksichtigt zu werden, 



da sie nur passiv sich der Datf n des Bus-Systems (3) bedient Die , 
Oberwachungseinheit (2) ist uber - die auf dem Bus laufenden Daten - uber alle 
Zustande und Ablaufe im Prozess und insbesondere uber die Zustande der 
ProzessgroBen informiert. 

Im Prinzip ist sie damit in der Lage, die sicherheitsrelevanten Zustande zu 
uberprufen. Zur BewSltigung dieser Aufgabe enthalt sie ein einfaches Programm das 
nur die Sicherheitsfunktionen als Logik uberwacht (z.B.: Gitterkontrolle, ' 
Anlaufuberwachung, Endschaltertest, usw.). Im Fehlerfall der Steuerung (i) kann 
damit die Oberwachungseinheit (2) geeignete Ma&nahmen ergreifen. 
Diese Fehlererkennung funktioniert jedoch nur dann, wenn die Steuerungseihheit (1) 
als Verursacher fungiert. Fehler in den dezentralen Einheiten oder im Prozess 
werden von beiden Einheiten (Steuerungseinheit (1) oder Uberwachungseinheit (2)) 
nicht registriert 

Eine vbllstandige Kontrolle gelingt daher nur mittels spezieller dezentraler Einheiten, 
die ihre eigene Funktion oder sogar die Sensorik im redundant Prozess abfragen. 
Entsprechend des Anspruchs 1 gehoren zur optimalen Funktion dieser Einheit auch 
dezentrale Einheiten, die selbst Sicherheitsanforderungen genugen. Hierzu gehort 
insbesondere die Uberwachung der eigenen Funktion und die 
Sicherheitsabschaltung im Fehlerfall (bei Ausfall des Bus-Systems (3) oder bei x 
fehlerhaften Ein- oder Ausgabe). 

Die Oberwachungseinheit (2) erkennt somit eindeutig einen Fehler, sofern er im 
sicherheitsrelevanten Programm als Logik hinterlegt ist. Es bleibt der speziellen 
Projektierung uberlassen, in welcher Form eine geeignete Sicherheitsabschaltung 
erfolgt Im einfachsten Fall kann die Oberwachungseinheit (2) das Bus-System (3) 
unterbrechen oder kurzschlieften. Damit unterbindet sie die Datenubertragung und 
die dezentralen Einheiten (7, 9) fallen in einen sicheren Zustand. Denkbar ist aber 
auch ein gezieltes Abschalten der Stromversorgung, der entsprechenden 
Ausgabeeinheit oder ein langsames Herunterfahren des Prozessablaufs. 
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Schutzanspruche (298 24 256.7) 

1 . Einheit zur Sicherheitsuberwachung von Steuerungseinrichtungen, be! denen 
Spefcherprogrammierbare Steuerungen oder Mikrorechner Qber ein Bus-System 
dezentrale Einheiten ansprechen, die einen Prozess sowohl im 
sicherhettsrelevanten als auch im nichtsicherheitsrelevanten Bereich regeln, 
steuern oder uberwachen dadurch gekennzeichnet, dass zur Realisierung der 
Sicherheitsanforderung die Uberwachungseinheit (2) hinzugefugt wird, die 
entweder ausschliefclich oder vorwiegend die sicherheitsbehafteten Funktionen 
des Prozesses (12) mit der notwendigen Logik zur Oberwachung 
gefahrbringender Ablaufe oder Bewegungen (13) hinzugefugt wird, die selbst nur 
uber das Bus-System (3), welches als Standard erhalten bleibt und keinerlei 
Zusatzfunktion bedarf, eine Horer-Funktion erhalt und damit zusatzlich zum 
Gesamtprozess adaptierbar ist, diese mit sicherheitsgerichteten dezentralen 
Einheiten (7,9) korhmuniziert und parallel zum Gesamtprozess alle 
Sicherheitsfunktionen uberwacht und nur im Fehlerfall uber die dezentralen 
Einheiten (7,9) oder sonstigen Sicherheitseinrichtungen den sicheren Maschinen- 
bzw. Anlagenzustand herbeifuhrt 

2. Einheit nach Anspruch 1, dadurch gekennzeichnet, dass die 
Qberwachungseinheit (2) Qber eine in der Programmiersprache festgelegten 
Logik verfugt, die entweder ausschlieSlich oder vorwiegend SicherheitsvorgSnge 
Oberwacht und damit redundant zur Gesamtsteuerung arbeitet. 

3. Einheit nach den Anspruchen 1 und 2, dadurch gekennzeichnet dass die 
Qberwachungseinheit (2) auch nach der Funktionskontrolle des nicht 
redundanten Steuerungssystems mit ihren fur die Sicherheit notwendigen 
Abschaltfunktionen adaptierbar ist und durch ihre Sicherheitsfunktion der 
geforderte Grad an Sichertieit projektiert werden kann. 

4. Einheit nach den Anspruchen 1 bis 3, dadurch gekennzeichnet, dass die 
Qberwachungseinheit (2) und die sicherheitsgerichteten dezentralen Einheiten 
(7,9) deaktiviert werden konnen, ohne die einkanalige Steuerungsfunktion zu 
beeintrachtigen. 

5. Einheit nach den Anspruchen 1 bis 4, dadurch gekennzeichnet, dass durch eine 
bustechnische Mithorfunktion der Qberwachungseinheit (2) keine Ruckwirkung 
auf den eigentlichen Steuerungsprozess entsteht, so dass eine weitgehende 
Trennung zwischen der Hard- und Software des nicht redundanten 
Steuerungssystems und der SicherheitsQberwachung ermoglicht wird. 

6. Einheit nach den Anspruchen 1 bis 5, dadurch gekennzeichnet, dass die 
Qberwachungseinheit (2) uber den normalen Datenverkehr des Bus-Systems (3) 
der Steuerungseinheit (1) alle notwendigen Zustande und Funktionen erhalt, die 
zur Qberwachung des nicht redundanten Steuerungssystems notwendig sind. 

7. Einheit nach den Anspruchen 1 bis 6, dadurch gekennzeichnet, dass es an 
Standardbussysteme ohne Sicherheitsprotokollerweiterung adaptierbar bzw. 
einbindbar ist. 

8. Einheit nach den Anspruchen 1 bis 7, dadurch gekennzeichnet, dass die 
dezentralen Einheiten, die sicherheitsrelevante Funktionen erfassen und 
ansteuern, selbst ihre Funktion uberwachen, moglicherweise Sensoren oder 
Aktoren redundant uberwachen und bei Ausfall einer Funktion, beispielsweise bei 
Ausfall der Bus-Funktion, in den sichem Zustand schalten, der keine Gefahr mehr 
fur Mensch oder Maschine darstellt. 

9. Einheit nach den Anspruchen 1 bis 8, dadurch gekennzeichnet dass die 
Uberwachungseinheit (2) in einer von dem nicht redundanten Steuerunqssystem 




unabhangigen Programmier- und Parametriersprache in ihren 
Sicherheitsfunktionen generiert werden. 
10. Einheit nach den Anspruchen 1 bis 9, dadurch gekennzeichnet, dass die 

Uberwachungseinheit (2) neben der Uberwachungsfunktion auch die Bedienung 
und Programmierung mittels eines integrierten Mensch-Maschinen-lnterfaces 
erlaubt. 
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Zeichnung (298 24 256.7) 
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